none
NLB и внешний SQL RRS feed

  • Вопрос

  • Доброго времени суток!
    Озаботился созданием NLB конфигурации из 2х ISA серверов(на каждом Fiervall Service и CSS) и внешнего SQL сервера.
    Действовал следующим образом:
    1. Поднимал единичный ISA Server EE.
    2. Настраивал хранение логов в SQL по KB: http://support.microsoft.com/kb/838710
    3. Поднимал второй IAS Server EE с реплецированием CSS и добавлением в существующий массив
    4. Настроил внутримассивные связи через отдельный интерфейс
    5. Включаю NLB. Назначаю VIP
    И тут начинаются проблемы. ISA Fierwall обваливается из-зи невозможности записать логи в SQL на обеих членах массива.
    В чем может быть проблема?

    15 июля 2009 г. 8:09

Все ответы

  • Посмотрите логи безопасности SQL: скорее всего проблема с аутентификацией.

    Вообще лучше не использовать запись логов на удаленный сервер: по умолчанию, если он недоступен, то сервис ISA остановится! Поэтому рекомендуется локально установить SQL Express и писать логи в локальную базу, а при необходимости реплицировать информацию на удаленный сервер отдельной утилитой (скриптом) (самописной).

    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    15 июля 2009 г. 8:28
    Модератор
  • Идея конечно интересная, но....
    Поглядел я эти логи и ничего там не нашел. Смотрел как лог Windows так и лог SQL
    Для меня не очень понятен момент как 2 ISA делят промеж себя 1 SQL базу.

    15 июля 2009 г. 8:43
  • Также как любые два приложения работающие с базой данных: два приложения одновременно пишут в нее новые записи.

    Что касается подключения к SQL: после поднятия NLB он вообще доступен с ISA? ping?

    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    15 июля 2009 г. 8:45
    Модератор
  • Изначально - ДА. Но потом, когда Fierwall service обваливаютс, доступны только члены массива.
    15 июля 2009 г. 9:02
  • Небольшое дополнение! После поднятия NLB и последующего выпадания Fierwall service изменения конфигурации не применяются. ТОесть CSS стали недоступны. Может это изначальная причина?
    15 июля 2009 г. 12:53
  • Настройте локальные логи и поднимите NLB - когда это заработает, настраивайте удаленные логи.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    17 июля 2009 г. 8:16
    Модератор
  • Переподнял NLB с локальными логами.
    Типа все сервисы ранинг, но пишется ошибка при записи конфигурации и машины всеравно недоступны.
    При активации NLB предлагается выполнить следующие действия:
    setspn -a ldap/srv-prx-1a srv-prx-1a.domain.loc
    setspn -a ldap/srv-prx-1a:2711 srv-prx-1a
    где srv-prx-1a - это интерфейс взаимодействия серверов
    (с портом мог напутать)

    при выполнении этой команды на DC  говорят что host srv-prx-1a недоступен. В DNS Этот хост зарегестрирован и пингается

    21 июля 2009 г. 12:31
  • Для связи двух серверов ISA нужен отдельный линк и сеть соответственно. Так настроено? Скорее всего для CSS указаны dedicated адреса серверов - а эти адреса втречно с двух ISA пингуются после поднятия NLB?


    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    22 июля 2009 г. 8:37
    Модератор
  • На исах присутствуют следующие сетевые интерфейсы
    LAN 192.168.10.xxx
    WAN xxx.xxx.xxx.xxx
    Intra-array 10.10.1.xxx
    LAN И Intra-array - пингаются с обеих нод
    В DNS согласно хелпу исы созданы записи указывающие на обе ноды из подсети intra-array (srv-isa-1=192.168.10.6, srv-isa-1a=10.10.1.1) и зареганы в керберосе согласно предидущему посту.
    после поднятия NLB обе ноды пингуют друг друга по обеим внутреним интерфейсам.

    23 июля 2009 г. 5:49
  • Хотя стоп........
    после поднятия NLB пинг по подсети intra-array идет только в одну сторону. Странно.
    Чем такое могет быть вызвано?
    23 июля 2009 г. 5:54
  • Далле - если смотреть логи ISA - то выскакивает  ошибка про авторизацию на CSS - srv-prx-1a(к нему прибит ip сети взаимодействия внутри массива)
    23 июля 2009 г. 6:32
  • Хотя стоп........
    после поднятия NLB пинг по подсети intra-array идет только в одну сторону. Странно.
    Чем такое могет быть вызвано?

    Посмотрите мониториг на ISA.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    24 июля 2009 г. 14:34
    Модератор